Servicio al cliente:Pbx. ‭(+57) 601-770 2610‬
Contáctenos

Política de Seguridad de la Información

HomeProtecciónPolítica de Seguridad de la Información

Política de Seguridad de la Información Logycable SAS

Versión: 1.7
Fecha de Emisión: 1 feb 2025

  1. Introducción

Esta Política de Seguridad de la Información (PSI) establece los principios, directrices y responsabilidades para proteger la confidencialidad, integridad y disponibilidad de la información de Logycable SAS (en adelante, «la Empresa»), así como la infraestructura tecnológica que la soporta. Esta política es de obligatorio cumplimiento para todos los empleados, contratistas, proveedores y cualquier tercero que tenga acceso a la información y los sistemas de la Empresa.

La seguridad de la información es un activo estratégico fundamental para la continuidad del negocio, la confianza de nuestros clientes y el cumplimiento de las obligaciones legales y regulatorias. Esta política se alinea con los objetivos estratégicos de la Empresa y busca minimizar los riesgos asociados a la información.

  1. Alcance

Esta política se aplica a toda la información propiedad de la Empresa o bajo su custodia, en cualquier formato (electrónico, físico, verbal, etc.) y en cualquier medio de almacenamiento o transmisión. Esto incluye, pero no se limita a:

  • Datos de clientes y usuarios.
  • Información de red y sistemas.
  • Información financiera y contable.
  • Propiedad intelectual y secretos comerciales.
  • Información de empleados.
  • Documentación interna y procedimientos.
  • Infraestructura tecnológica (servidores, equipos de red, estaciones de trabajo, dispositivos móviles, etc.).
  • Servicios en la nube utilizados por la Empresa.
  1. Objetivos de la Seguridad de la Información

Los principales objetivos de esta PSI son:

  • Confidencialidad: Asegurar que la información sea accesible solo a personal autorizado.
  • Integridad: Mantener la exactitud y completitud de la información, evitando modificaciones no autorizadas.
  • Disponibilidad: Garantizar que los usuarios autorizados tengan acceso a la información y los sistemas cuando los necesiten.
  • Cumplimiento: Cumplir con las leyes, regulaciones y obligaciones contractuales relacionadas con la seguridad de la información.
  • Continuidad del Negocio: Minimizar el impacto de incidentes de seguridad en las operaciones de la Empresa.
  • Conciencia: Fomentar una cultura de seguridad de la información entre todos los usuarios.
  1. Principios de la Seguridad de la Información

Los siguientes principios fundamentales guían la implementación y el mantenimiento de esta PSI:

  • Responsabilidad: Cada empleado es responsable de proteger la información a la que tiene acceso y de cumplir con esta política.
  • Necesidad de Saber: El acceso a la información se otorgará únicamente a aquellos usuarios que lo necesiten para desempeñar sus funciones.
  • Mínimo Privilegio: A los usuarios se les otorgarán los mínimos derechos de acceso necesarios para realizar sus tareas.
  • Defensa en Profundidad: Se implementarán múltiples capas de seguridad para proteger la información y los sistemas.
  • Gestión de Riesgos: Los riesgos de seguridad de la información se identificarán, evaluarán, tratarán y revisarán de forma continua.
  • Mejora Continua: El Sistema de Gestión de Seguridad de la Información (SGSI) se revisará y actualizará periódicamente para adaptarse a las nuevas amenazas y tecnologías.
  • Conciencia y Formación: Se proporcionará formación y concienciación regular sobre seguridad de la información a todos los usuarios.
  • Cumplimiento Legal: Todas las actividades relacionadas con la información se llevarán a cabo de acuerdo con las leyes y regulaciones aplicables.
  1. Roles y Responsabilidades

La seguridad de la información es una responsabilidad compartida. A continuación, se definen los roles clave y sus responsabilidades generales:

  • Alta Dirección:
    • Aprobar y respaldar esta PSI y el SGSI.
    • Asignar los recursos necesarios para la implementación y mantenimiento de la seguridad de la información.
    • Promover una cultura de seguridad en toda la organización.
  • Responsable de Seguridad de la Información (RSI):
    • Desarrollar, implementar y mantener el SGSI y esta PSI.
    • Identificar, evaluar y tratar los riesgos de seguridad de la información.
    • Gestionar los incidentes de seguridad de la información.
    • Coordinar las actividades de concienciación y formación en seguridad.
    • Realizar auditorías de seguridad internas.
    • Asegurar el cumplimiento de las leyes y regulaciones relacionadas con la seguridad de la información.
  • Administradores de Sistemas y Redes:
    • Implementar y mantener las medidas de seguridad técnicas (firewalls, sistemas de detección de intrusiones, etc.).
    • Gestionar el acceso a los sistemas y la red.
    • Realizar copias de seguridad y planes de recuperación ante desastres.
    • Monitorear la seguridad de los sistemas y la red.
    • Aplicar parches y actualizaciones de seguridad.
  • Empleados:
    • Cumplir con esta PSI y todos los procedimientos de seguridad relacionados.
    • Proteger sus credenciales de acceso (contraseñas, etc.).
    • Informar cualquier incidente o sospecha de incidente de seguridad.
    • Utilizar los recursos de la Empresa de manera responsable y segura.
    • Participar en las actividades de concienciación y formación en seguridad.
  • Contratistas y Proveedores:
    • Cumplir con las políticas y procedimientos de seguridad de la información de la Empresa cuando tengan acceso a su información o sistemas.
    • Garantizar la seguridad de la información que procesen en nombre de la Empresa.
  1. Controles de Seguridad

La Empresa implementará los siguientes controles de seguridad, entre otros, para proteger su información y sistemas:

  • Control de Acceso:
    • Implementación de políticas de contraseñas robustas.
    • Utilización de autenticación multi-factor (MFA) cuando sea apropiado.
    • Gestión de perfiles y permisos de usuario basada en el principio de mínimo privilegio.
    • Revisión periódica de los derechos de acceso.
    • Control de acceso físico a las instalaciones y áreas sensibles.
  • Seguridad de la Red:
    • Implementación y configuración adecuada de firewalls.
    • Sistemas de detección y prevención de intrusiones (IDS/IPS).
    • Segmentación de la red para limitar el impacto de posibles incidentes.
    • Gestión segura de dispositivos de red (routers, switches, etc.).
    • Control de acceso inalámbrico seguro.
  • Protección contra Malware:
    • Implementación y mantenimiento de software antivirus y antimalware actualizado en todos los sistemas.
    • Políticas para la descarga e instalación de software.
    • Concienciación sobre los riesgos de correos electrónicos y sitios web maliciosos.
  • Gestión de Vulnerabilidades:
    • Realización de escaneos de vulnerabilidades periódicos en sistemas y aplicaciones.
    • Aplicación oportuna de parches de seguridad.
    • Seguimiento y remediación de las vulnerabilidades identificadas.
  • Seguridad Física:
    • Controles de acceso a edificios y salas de servidores.
    • Medidas de seguridad ambiental (control de temperatura y humedad).
    • Sistemas de vigilancia (cámaras, alarmas).
    • Políticas para el manejo seguro de documentos físicos.
  • Copia de Seguridad y Recuperación:
    • Realización de copias de seguridad periódicas de la información crítica.
    • Almacenamiento seguro de las copias de seguridad en una ubicación separada.
    • Pruebas periódicas de los procedimientos de restauración.
    • Desarrollo y mantenimiento de un Plan de Recuperación ante Desastres (DRP).
  • Seguridad de Dispositivos Móviles:
    • Implementación de políticas para el uso de dispositivos móviles personales y corporativos.
    • Requisitos de contraseñas y bloqueo de pantalla.
    • Capacidad de borrado remoto en caso de pérdida o robo.
    • Control de las aplicaciones instaladas.
  • Seguridad en el Desarrollo de Software:
    • Implementación de prácticas de desarrollo seguro.
    • Realización de pruebas de seguridad en las aplicaciones.
    • Control de cambios en el código fuente.
  • Seguridad en la Nube:
    • Evaluación de la seguridad de los proveedores de servicios en la nube.
    • Configuración segura de los servicios en la nube.
    • Gestión de acceso a los recursos en la nube.
  • Gestión de Incidentes de Seguridad:
    • Establecimiento de procedimientos para la detección, reporte, análisis, contención, erradicación y recuperación de incidentes de seguridad.
    • Definición de roles y responsabilidades en la gestión de incidentes.
    • Comunicación oportuna de los incidentes relevantes.
    • Análisis post-incidente para identificar lecciones aprendidas y mejorar los controles.
  1. Cumplimiento

El incumplimiento de esta PSI puede acarrear sanciones disciplinarias, de acuerdo con las políticas internas de la Empresa y la legislación laboral vigente. En caso de incidentes de seguridad que involucren actividades ilegales, se tomarán las acciones legales correspondientes.

  1. Revisión y Actualización

Esta PSI será revisada y actualizada al menos una vez al año, o con mayor frecuencia si es necesario, para reflejar los cambios en la tecnología, las amenazas, las regulaciones y las necesidades del negocio. Las revisiones serán realizadas por el RSI y aprobadas por la Alta Dirección.

  1. Difusión y Concienciación

Esta PSI será comunicada a todos los empleados y estará disponible en [ubicación del documento, intranet, etc.]. Se realizarán actividades de concienciación y formación periódicas para asegurar que todos los usuarios comprendan sus responsabilidades en materia de seguridad de la información.

  1. Contacto

Cualquier pregunta o inquietud relacionada con esta PSI debe dirigirse al Responsable de Seguridad de la Información al correo electrónico info@logycable.com

 

POLITICAS DE TRATAMIENTO DE LA INFORMACION
DESCARGAR DECRETO 1377 DE 2013